Behebung eines potenziell gefährdeten EC2 Wiederherstellungspunkts - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung eines potenziell gefährdeten EC2 Wiederherstellungspunkts

Wann GuardDuty generiert eine Ausführung:/! EC2 MaliciousFile RecoveryPoint Findetyp: Zeigt an, dass Malware in einer EC2 Recovery Point Backup-Ressource entdeckt wurde. Gehen Sie wie folgt vor, um den potenziell gefährdeten Recovery-Punkt zu reparieren:

  1. Identifizieren Sie den potenziell gefährdeten Recovery Point EC2

    1. Bei einem GuardDuty Ergebnis für EC2 Recovery Point werden der Amazon-Ressourcenname (ARN) und die zugehörigen Malware-Scandetails in den Ergebnisdetails aufgeführt:

      aws backup describe-recovery-point --backup-vault-name 021345abcdef6789 --recovery-point-arn "arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
    2. Review recovery details to look for source image: 
      aws backup get-recovery-point-restore-metadata --backup-vault-name 021345abcdef6789 --recovery-point-arn "arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

  2. Beschränken Sie den Zugriff auf die gefährdeten Ressourcen

    • Überprüfen und ändern Sie die Zugriffsrichtlinien für Backup-Tresore, um den Zugriff auf Wiederherstellungspunkte einzuschränken und alle automatisierten Wiederherstellungsaufträge auszusetzen, die diesen Recovery Point verwenden könnten. Wenn in Ihrer Umgebung Resource Tagging verwendet wird, kennzeichnen Sie den Recovery Point entsprechend, um darauf hinzuweisen, dass er untersucht wird, und erwägen Sie, geplante Backups gegebenenfalls zu pausieren.

      Beispiel:

      aws backup tag-resource -—resource-arn arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 -—tags Investigation=Malware,DoNotDelete=True

  3. Ergreifen Sie Abhilfemaßnahmen

    • Bevor Sie mit dem Löschen fortfahren, stellen Sie sicher, dass Sie alle Abhängigkeiten identifiziert haben und bei Bedarf über die richtigen Backups verfügen.